当前位置:首页 > 渗透破解 > 正文内容

研究人员发现 23 个 Android 应用因未确保安全而暴露了超过 1 亿用户的数据

访客56年前 (1970-01-01)渗透破解769

安全漏洞和bug时有发生,这本就是软件开发过程的一部分,但缺陷是由糟糕的编程人员造成的时候,这个问题就会特别令人生气。在应用程序中硬编码认证密钥或未能在在线数据库中设置认证是开发人员无法接受的,然而,这是一个相当普遍的现象。

周四, *** 安全公司Check Point Research发布了一份报告,详细介绍了23个Android系统的不良云配置和实施,可能使数百万用户的数据面临风险。可能泄露的信息包括电子邮件记录、聊天信息、位置信息、图像、用户ID和密码。

一半以上的应用程序的下载量都超过1000万,因此受影响的用户范围很大,Check Point估计,这些应用程序可能已经暴露了超过1亿用户的数据。

大多数应用程序都有实时数据库,开发人员对公众敞开了大门,这个问题非常常见且分布广泛,它的研究人员发现,在他们调查的一半以上的应用程序的数据库中,他们可以自由访问信息。

技术人员还发现,将近一半的应用程序将其云存储密钥嵌入其应用程序的代码中。例如,CPR从一个名为 “iFax”的传真应用程序中获取了密钥,这将使他们能够访问该应用程序的50多万用户发送的每一份传真。出于道德原因,研究人员没有访问这些记录,但通过代码分析验证了他们可以这样做。

他们发现的一个不太常见的问题仍然值得注意,那就是硬编码的推送通知键。嵌入的通知密钥并不像将云存储密钥编码到程序中那么严重,但CPR解释说,这也是同样糟糕的一种做法。

“虽然推送通知服务的数据并不总是敏感的,但代表开发者发送通知的能力足以引诱恶意的行为者。想象一下,如果一个新闻输出应用程序向其用户推送一个假的新闻条目通知,将他们引向一个钓鱼网页,要求他们更新订阅。由于该通知源自官方应用程序,用户不会怀疑任何事情,因为他们确信这个通知是由开发人员发送的”。

Check Point表示,在披露这些漏洞之前,它已经通知了应用程序制造商,而且有几个制造商跟进了更新,以修复这些问题。然而,被调查的23个应用只是Google Play上287万个应用中的一个微不足道的样本,可能有更多的人在使用这些同样糟糕的做法。

(消息及封面来源:cnBeta)

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32467.html

“研究人员发现 23 个 Android 应用因未确保安全而暴露了超过 1 亿用户的数据” 的相关文章

最快的勒索软件被发现仅用 4 分多钟就加密了 53GB 的数据

对于IT管理员和网络安全团队来说,勒索软件攻击是一场与时间赛跑的关键比赛,以检测和控制损害,同时抢救公司的数据资产的剩余部分。但是,当这种事件发生时,有多少反应时间呢?似乎不是很多。正如对10个候选勒索软件的测试所揭示的那样,一种名叫LockBit的勒索软件效率惊人,在四分钟内就加密了一台Windo...

关键 SonicOS 漏洞影响 SonicWall 防火墙设备

Hackernews 编译,转载请注明出处: SonicWall 发布了安全更新,其中包含一个跨多个防火墙设备的关键漏洞,未经身份验证的远程攻击者可以将其武器化,以执行任意代码并导致拒绝服务(DoS)情况。 根据CVE-2022-22274 (CVSS 得分: 9.4)的跟踪记录,...

俄罗斯面临 IT 危机 距离数据存储空间耗尽只剩下两个月

在西方云计算供应商撤出俄罗斯后,俄罗斯面临严峻的IT存储危机,在数据存储耗尽之前,俄罗斯只剩下两个月的时间。这些解决方案是在数字转型部举行的一次会议上提出的,出席会议的有Sberbank、MTS、Oxygen、Rostelecom、Atom-Data、Croc和Yandex的代表。 据俄罗斯新闻媒...

Okta 结束 Lapsus$ 黑客事件调查:攻击持续25分钟 仅两个客户受到影响

在被黑客组织 Lapsus$ 入侵三个月后,身份验证平台 Okta 终于在周二的一篇博客文章中,分享了正式版的内部调查报告。公司首席安全官 David Bradbury 指出:在攻击发生后不久,他们就已经就获知了相关细节。不过随着分析的深入,他们进一步收缩了早期评估的潜在影响范围。 Bradbur...

德国摧毁俄罗斯暗网市场 Hydra 九头蛇 收缴价值 2500 万美元的比特币

据德国媒体报道,德国执法机构在最近的执法行动中扣押俄罗斯暗网市场Hydra的服务器,同时收缴价值2500万美元的比特币。不知道这个黑市的创始人是不是漫威的粉丝,所以才会起九头蛇这个名字。 目前访问该市场会弹出德国执法机构挂出的提示,而收缴的2500万美元比特币只是很小的一部分,具体来说是4月5日的一...

微软禁用 MSIX AppX 安装程序以使用户免遭 Emotet、BazarLoader 类威胁

微软今天正式宣布,它已经禁用了MSIX应用安装程序协议以防止恶意攻击。该协议允许用户直接从网络服务器上安装各种应用程序,而不需要先将其下载到本地存储。当时的想法是,这种方法将为用户节省空间,因为不需要下载整个MSIX包。 然而,这种Windows应用程序安装包后来被发现用来分发恶意的PDF文件,如...

评论列表

鸠骨眉妩
2年前 (2022-06-13)

更新订阅。由于该通知源自官方应用程序,用户不会怀疑任何事情,因为他们确信这个通知是由开发人员发送的”。Check Point表示,在披露这些漏洞之前,它已经通知了应用程序制造

鸠骨败骨
2年前 (2022-06-13)

知,将他们引向一个钓鱼网页,要求他们更新订阅。由于该通知源自官方应用程序,用户不会怀疑任何事情,因为他们确信这个通知是由开发人员发送的”。Check Point表示,在披露这些漏洞之前,它已经通知了应用程序制造商,而且有几个制

莣萳等灯
2年前 (2022-06-13)

布广泛,它的研究人员发现,在他们调查的一半以上的应用程序的数据库中,他们可以自由访问信息。技术人员还发现,将近一半的应用程序将其云存储密钥嵌入其应用程序的代码中。例如,CPR从一个名为 “iFax”的传真应用程序中获取了密钥,

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。